Leserbrief iX 1/19: Beschränkte Informatikersicht

(Testen: Die Zukunft von Softwaretestern – einePrognose; iX 12/2018, S. 88)

Wenn man sich in das Rollenmodell des IT-Testers einarbeitet, das zusammen vom German Testing Board und der Gesellschaft für Informatik entwickelt wurde, sieht man, wie ein expliziter Tester den Informatikern zur Seite stehen kann. Die Vielfältigkeit der dort beschriebenen Aufgaben auf die Entwickler abzuwälzen, wäre so, als würde ein Industriearbeitnehmer alle Aufgaben von der Produktplanung bis zur Auslieferung bei EDEKA selbst erledigen – das ist wohl eher nicht wünschenswert, da man dafür viele unterschiedlichste Kompetenzen in einer Person vereinigen müsste. Der einstige „Bughunter“ ist sicherlich schon länger passé, aber der Tester, der die Entwickler besser macht, ist etwas, was es auch in den nächsten Jahrzehnten noch geben wird. Ich suche immer nach Parallelen aus meinem alten Job in der Lebensmittelindustrie, und da geht nichts, ohne dass nicht die Qualität stimmt. Und weil gerade Querschnittsthemen in der agilen Welt ein Problem darstellen können, hilft der Kommunikator oder „die Bauchspeicheldrüse“ des Projekts (Alex Schladebeck),die die Dinge zusammenführen kann.

Informatiker lernen in ihrer Ausbildung selten etwas über Grenzwerte, Sicherheitstests, Akzeptanztests – so meine Erfahrung in 20 Jahren … und das gerade bei Sicherheit nur auf Sourcecode zu beziehen, kann sehr gefährlich sein, wenn man bspw. SAST-Tools mal anschaut, die viele Entwickler kennen und die beim OWASP-Benchmark gerade mal etwa 30 % aller Sicherheitsfehler finden. Wenn da nicht ein Sicherheitstester noch andere Wege aufzeigt, um Einfallsvektoren zu bestimmen, ist Ihr Start-up schneller gehackt, als Sie die Worte „Sicherheitstests wären gut“ sagen können. Agile Testing / More Agile Testing (zwei Standardwerke, d. Red.) beschreiben die Dinge, die in die agilen Strukturen mittlerweile aufgegangen sind, und beschreiben ziemlich gut, wie sich die Berufswelt des Testers veränderte. Wir würden andere Produkte, wie Autos,Zahnpasta, Brot, Gemüse, nicht kaufen,wenn wir nicht wüssten, dass sich jemand um die versprochene Qualität des Produktes bemüht. Warum manche Informatiker denken, ihre Welt funktioniert anders als die restliche, wird mir ewig ein Rätsel bleiben. Denn die Projekte, die meinten, nicht auf Qualität zu setzen, gibt es oftmals nicht mehr. Die, die wussten, welchen Fehler sie gemacht haben, lehren andere Gründer auf Qualität zu setzen.

JÖRG SIEVERS, AHRENSBURG

10 Tips to Make Your iPhone & iPad Safer

Bill Hess von PixelPrivacy.com hat einen schönen Artikel erstellt, wie man sein iOS (11) sicherer macht. Ich kann alle Tipps unterschreiben und füge noch hinzu: Benutzt BoxCryptor um Eure Daten in der Cloud zu verschlüsseln. So ist es für Scanner, die evtl. auf versehentlich freigegebene, aber verschlüsselte Bilder- oder Dokumentenordner in der Cloud zugreifen nicht möglich die Datei selber auszulesen.

 

Nachrichtenverschlüsselung für iOS und Thunderbird

Ich benutze seit vielen Jahren PGP um meine Nachrichten zu verschlüsseln, jedoch benutzen wenige meiner Briefbekanntschaften PGP, da es mit der Schlüsselverwaltung auch nicht jedemanns Sache ist.

Als Stern am Horizont tauchte in den letzten Jahren das Pretty Easy Privacy project, kurz pEp, auf, wo u.a. auch die Bielefelder vom Digitalcourage e.V. mitmischen.

Der „Default“ soll eben sein Verschlüsselung an- und nicht ausgeschaltet zu haben. Für Windows und Outlook habe ich nach dem dritten Anlauf die Version auch fehlerfrei installieren können und so läuft das Plugin nun mit. Für Thunderbird ist nun auch Besserung in Sicht: Enigmail’s nightly Build enthält nun pEp junior als Bestandteil. Enigmail ist wohl die bekannteste PGP-Implementierung und in der 2.0 ist u.a. nun auch die Betreffzeile verschlüsselt bzw. wird in den verschlüsselten Teil gezogen und im Betreff steht nur noch encrypted message – was ich nach mehreren Jahrzehnten PGP auch mal geil finde 🙂

Für iOS ist ebenfalls Besserung in Sicht und ein Testflight steht zur Verfügung. Ich spiele da mal mit, da auf iOS die PGP-Implementierung echt megaumständlich ist.

NET::ERR_CERT_COMMON_NAME_INVALID oder SSL ist nicht mehr Dein Freund

In einer Testumgebung teste ich Websocket-Verbindungen (wss://) und benutze dazu Ready!API von SmartBear mit SOAP UI Pro und WebSocket-Plugin. Soweit so gut. Nun haben wir ein Testenvironment mittels vagrant, ansible und VirtualBox aufgesetzt und was bisher lokal auf meiner Maschine funktionierte, indem ich die „self-signed“ Zertifikate auf CN=localhost in die JRE von Ready!API importierte (keytool -import -alias myalias -file <path_to>\localhost.crt -keystore cacerts -storepass changeit), funktionierte auch bestens mit einem Testnetzwerk im LAN (ohne den Import, da ein LoadBalancer wunderschön gültige Zertifikate lieferte).

Nun funktionierte es aber nicht mehr auf dem lokale „virtuellen“ VirtualBox-Netzwerk und auch Onkel Google (Chrome) verweigerte den Dienst mit

NET::ERR_CERT_COMMON_NAME_INVALID

Glücklicherweise war Onkel Google auskunftsfreudig und meinte das CN=<hostname> nicht mehr ausreiche, sondern man durch die „Extensions“ im Zertifikat möge man doch „alternative Namen“ mitgeben. Hä?

Tja, nicht der Zertifikats-Antragsteller muss die mit angeben, sondern die CA, die das Zertifikat signiert! D.h. beim Signierprozess in den Extensions

.... -ext san=dns:test1,ip:1xx.1xx.x.x

Als hilfreiches Tool sei hier KeyStore Explorer 5.5.2 (Windows) erwähnt, denn dort kann man die notwendigen Eintragungen beim Signaturprozess vornehmen.

34c3: Zwei-Faktor-Authentifizierung muss sein!

Immer wieder schön zu sehen: Vincent Haupert demonstriert wie unsicher die mobilen Banking-Apps von heute sind – jedes Jahr auf dem CCC aufs Neue. Ich bete also, wie jedes Jahr die selbe Leier:

Liebe Banker, vor allem liebe Marketing-Leuts bei den Bankers,

ihr könnt Euch noch so aberwitzigen Blödsinn einfallen lassen, aber zwei Faktoren sind besser als einer um sich Euch gegenüber zu authentifizieren. chipTAN nach wie vor ganz weit vorne… OneAppForAll ist einfach nicht sicher zu machen.

Danke Vincent für Deine immer erfrischenden Vorträge!

Weitere Infos zum Angriff: https://www1.cs.fau.de/nomorp

Tor != Darknet – bpb mit sehr guter Beilage

Die meisten Menschen verbinden mit dem Begriff „Darknet“ Kriminelle, Drogen, Waffen, … aber sehen die andere Seite, die eine Verschleierung der Identität bietet, nicht.

In einer Broschüre von der Bundeszentrale für politische Bildung wird m.E. sehr gut erklärt, dass es auch andere Techniken gibt und das in nicht-demokratischen Ländern eine Verschleierungstechnik notwendig ist, um eine lebhafte Opposition zu fördern.

Zudem werden Dinge richtig gestellt, die immernoch im Netz kursieren:

  • Das das Darknet größer als das Clearnet wäre (Eisberg-Bild).
  • Meldungen über „Erfolge“ der Kriminalpolizei, die eher auf Zufällen oder alten Techniken der Polizei beruhen
  • etc.

Logo der Bundeszentrale für politische Bildung

Macs brauchen keinen Virenscanner, aber…

Liebe Nachbarn, Freunde, Kollegen oder eben Blog-Leserinnen und -leser,

nein, auch ich kann keine 100%ige Sicherheit versprechen, auch nicht auf einem macOS, aber ich schütze meine IT-Systeme, so gut es eben geht. Das mit Abstand Dümmste was man allerdings auf einem macOS machen kann, ist die Installation eines Virenscanners!

Nicht weil der Mac so toll ist, sondern weil das nicht der Angriffsvektor ist aus dem die Kanonen schießen… das wäre so, als würde man ein G36 von „Flintenuschi“ zum Beseitigen von Wespen im Garten einsetzen…. zudem hebeln Virenscanner die eigentlich gar nicht so schlechten Sicherheitsmechanismen von Apple aus – das müssen sie, da sie sonst nicht ihren Dienst tun könnten. Da Virenscanner selber auch Software sind, bringen sie auch ihre eigenen Probleme und eben Angriffsflächen mit sich.

NEXTSTEP und damit macOS basieren auf UNIX und sind für das Netz konzipiert worden. Im Gegensatz zu kinderUnix hat NeXT/Apple dem UNIX eine hübsche Oberfläche spendiert und versteckt viele Dinge unter der Haube – selbiges gilt für iOS auf den mobilen Systemen. Unten drunter ist ein UNIX.

Was bitte ist der Angriffsvektor?

Kurz: Ransomware und Malware

Wenn man sich über Mail oder den Webbrowser Anhänge oder kompromitierte Seiten reinzieht, werden für den normalen Anwender Seiteneinstiege ausgenutzt, die die meisten gar nicht kennen. Da hilft auch kein Virenscanner, denn es ist kein Virus und wenn die Funktion der *ware ausgelöst wird, ist auch der Virenscanner platt.

Es gilt also die Erkennung solcher Seiteneinstiege zu verhindern – oder – wenn man es nicht kann, wenigstens den Prozess unter Kontrolle zu bekommen, der einem gerade die Platte verschlüsseln möchte.

Wie macht man das?

  1. Überwache was in das System kommt und was an andere Systeme geschickt wird („nach-Hause-telefonieren“!
  2. Lasse Dich nicht ausspionieren – auch nicht in öffentlichen WLANs!
  3. Überwache Prozesse, die etwas tun, was sie nicht sollen oder was Du ihnen nicht erlaubt hast!
  4. Verhindere Aktionen von Prozessen, die Dein System dauerhaft schädigen!

Ich habe für solche Zwecke folgende Tools installiert und fahre seit vielen Jahren sehr gut damit:

  1. Ransomwhere (kostenlos)
    1. erkennt Versuche von Prozessen etwas auf der Platte zu verschlüsseln (Ransomware-Erkennung) und kann den Prozess abschießen, der das versucht.
    2. Wenn man Banking-Software benutzt oder Software, die Verschlüsselung einsetzt, weiß man das beim Start, alles andere würde das kleine, kostenlose Tool finden
  2. KnockKnock (kostenlos)
    1. Malware-Erkennung bereits installierter Software
  3. BlockBlock (kostenlos)
    1. Kontinuierliches Überwachen, wie Ransomwhere, bloß für Malware
    2. Wer Handbrake, ein sehr beliebter Videokonvertierer auf dem Mac, benutzt und dieses kleine Tool installier hatte, wurde, im Gegensatz zu den Virescannern, rechtzeitig gewarnt!
  4. Little Snitch (Einzellizenz: € 29,95)
    1. Eine Applikationsfirewall, die auch die ausgehenden Verbindungen mitschneidet. Am Anfang muss man sich erst einmal damit befassen, welche Programme eigentlich wohin mit wem „telefonieren“ sollen und dürfen, aber nach ein paar Tagen hat man eigentlich alles einmal gesehen und die Entscheidung gefällt. Danach kommt das Popup von LittleSnitch nur selten hoch und man sollte das dann schon hinterfragen, ob das so gewollt ist.
  5. Benutze VPN – virtuelles privates Netzwerk
    1. Man kann nur davor warnen in öffentlichen WLANs unverschlüsselt ins Internet zu gehen und am Besten noch Bankinggeschäfte zu machen!
    2. Generell schadet es nicht, wenn man verschlüsselt ins Netz geht, da der Weg zwischen einem selbst und dem Internet dann nicht von „Man in the middle“ einsehbar ist, also auf den Servern, die zwischen Dir und dem Internet liegen.
    3. siehe: Informationstechnologie

Auch mit o.a. Tools hat man nicht alles im Griff, aber zumindest schaut man auf die Angriffsvektoren, die derzeit viel mehr den Rechner angreifen als herkömmliche Viren, wie es bei Windows üblich ist. Zusammen mit der digitalen Selbstverteidigung und deren Tools, fängt man sich sicherlich weniger schadhafte Dinge ein.

GPGMail für macOS 10.12 Sierra (Beta 1) erschienen

Für alle Mac-Besitzerinnen und -Besitzer die zwischenzeitlich nur Thunderbird oder ihr iPhone benutzen konnten um verschlüsselte eMails bzw. verschlüsselte Eingangspostfächer einzusehen, hat das Warten ein Ende. GPGMail (enthalten in den GPGTools) ist in der 1. Beta erschienen und funktioniert auf meiner Sierra-Installation einwandfrei im Standardmodus (=1 private-Key für alles)

Wer sich auf der Mailingliste auf dem „Sierra-Thread“ einschreibt, bekam gestern um 21:39h MEZ Post.